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Abstract of FR27521 22 

The method involves a first party choosing a parameter at random from a number of selectable 
parameters. A communication guarantee formed from a certain number of bits is calculated as a 
function of the parameter and transmitted to a second party. The second party receives the 
communication guarantee and an element of the communication guarantee consisting of a certain 
number of bits is selected at random and sent to the first party. The first party performs a number of 
calculations using the element and sends the results to the second party. The second party receives 
the results and performs calculations using these results to verify that the calculation provides the 
communication guarantee in which case the first party is authenticated. A level of security equal to 1 - 
(1/u) can be defined where u equals the number of elements used containing a certain number of bits. 
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fe^ Precede d'authentification a nombre reduit de bits 
trSnsmis. 

On reduit considerablement le nombre de bits de I'enga- 
gement envoye par I'entite a autlientifier mais on augmente 
de quelques unites seulement le nombre de bits de I'ele- 
ment tire par I'entite authentifiante. 

Application aux procedes d'authentification dits a 
connaissance nulla. 
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PROCEDE D 'AUTHENTIFICATION 
A NOMBRE REDUIT DE BITS TRANSMIS 

Domaine technique 

5 ^ La presents invention a pour objet un 

proced6 d'authentification a nombre reduit de bits 
transBis. Elle trouve une application dans la 
cryptographie dite , cle publique. Dans de tels 
procedes, une entite a authentifier possede une cl. 

autrr." ^^''^^"^ -tit. 

authentxfxante a uniguenent besoin de cette cle 
publique pour realiser 1 ' authentification. 
encor. 1 ^'^^^^^ion concerns plus precisement 
enc ,,,3,^^ ^^^^^^^^ d.authentlfication . 

conna.ssance nulle ("zero-knowledge"). Cela signifie 

qui, de fagon prouvee, et sous des hypotheses reconnues 
« parfaite.ent raisonnables par la co^ut. 
scxentifxque, ne revile rien sur la cl6 secrete de 
' 1' entite a authentifier. 

tous 1., -e application dans 

tous les systen.es necessitant d- authentifier des 
entxtes ou des messages, ou de signer des messages, et 
Plus particun.re.ent dans les syst..es o. le noLl de 
bits transmxs constitue un parametre critique. 

Etat de la technique anterieure 

''^''^ protocoles connus 

d.xdentification- . connaissance nulle, Lentit. 
authentxfxer conuuence par fournir a 1- entite 
authentifiante un ou plusieurs "engagements" (not.s c 
ou eventuellement x) fonctions de param.tres choisis au 
hasard par I'entit. a authentifier. 

Dans un deuxieme temps, I'entifP 
authentifiante envoie k t„„+.^..' • i entxte 

envoxe a 1 entite a authentifier un 
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parametre ou "element" note e choisi au hasard (la 
"question"). Dans un troisieme temps, I'entite A 
authentifier fournit a I'entite authentif iante un 
resultat correspondant y coherent avec le ou les 
engagement (s) x ou c. 

Dans ces applications, il est souvent 
important que le nombre total de bits transmis soit 
aussi petit que possible, afin notamment de reduire le 
temps de la communication et, dans certaines variantes 
des protocoles de base (decrites plus loin) , de reduire 
le nombre de bits a stocker. 

Le but de 1' invention est de reduire de 
fagon importante le nombre total de bits transmis dans 
la plupart des protocoles d' identification connus, tout 
en conservant le ' meme niveau de securite. Plus 
precisement, 1' invention minimise le nombre de bits 
transmis dans le sens oh, de facon prouvee, il est 
impossible de reduire encore ce nombre sans diminuer le 
niveau de s6curit6 fourni par le protocols auquel on 
1' applique. Pour certains protocoles (par exemple celui 
de FIAT-SHflMIR (1) cette minimisation a un prix, a 
savoir 1' augmentation du nombre de secrets que I'entite 
a authentifier doit detenir, ainsi qu'une augmentation 
proportionnelle non negligeable du nombre de calculs a 
effectuer. Pour d'autres (notamment ceux de SCHNORR (3) 
et de GUILLOU-QUISQUATER (4)), cette minimisation 
n'aggrave de facon sensible aucune autre 
caracteristique et s'avere done particulierement 
interessante. 

A titre d' exemple, 1' invention permet 
d'economiser environ 18% des bits transmis dans le 
protocole d' identification de SCHNORR (3), pour des 
choix classiques de longueurs de parametres universels 
et de niveaux de securite. 
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De facon generale, la plupart des 
protocoles d' identification a connaissance nulle 
existants, se deroulent en trois ^changes, qui vont 
etre decrits . On suppose, afin de simplifier la 
description, que 1' entity authentif iante B connalt dejd 
tous les param^tres publics caracteristiques de 
1' entity & authentif ier A (identite, cle publigue, 
etc.) at n6cessaires a son identification. 

Lors du premier echange, A fournit a B un 
ou plusieurs engagements c. Lors du second echange, B 
envoie a A 1' Element e. Lors du troisieme echange, A 
fournit a B le resultat y correspondant a 1' element e, 
coherent avec le ou les engagement ( s ) c. Dans certains 
protocoles, il y a deux echanges supplement aires entre 
A et B, consistant en un element et un resultat de 
plus. C'est le cas du protocole de Shamir (2) . 

Le nombre u de questions possibles est 
directement relie au niveau de securite du protocole. 
Plus pr6cisement, on peut montrer que, si le protocole 
repose sur un probleme mathematique difficile, et si 
les engagements sont de longueur suffisante (ou la 
longueur designe le nombre.de bits), alors le niveau de 
securite, que I'on definit ici comme la probabilite de 
detection d'un imposteur (c'est-a-dire d'une entite C 
qui tente frauduleusement de se faire passer pour A) , 
est egal a 1- (1/u) . 

Souvent, on cherche a rendre le nombre de 
bits transmis au cours du premier echange aussi faible 
que possible (les engagements sont aussi courts que 
possible), de fagon a reduire le temps et le cout de 
1' authentif ication. Cependant, il peut etre demontre 
que la longueur d'un engagement ne peut etre choisie 
sous un certain seuil sans contrepartie, sauf a 
amoindrir le niveau de s^curitfe du protocole. Ce seuil 
depend de 1 ' environnement et plus particulierement du 
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nombre d' operations elementaires repute "impossible en 
pratique" a executer en un temps et avec des moyens 
informatiques se situant "a I'echelle humaine". De 
fag:on traditionnelle, ce nombre est souvent pris egal ^ 
3 2^^ auquel cas le seuil evoque ci-dessus est d' environ 
128. Pour des raisons de commodity, c'est ce choix qui 
sera fait dans la description qui suit, mais cette 
description pourrait facilement etre adaptee ^ d'autres 
choix. 

10 Avec ce choix, la limite des 128 bits pour 

c ne peut §tre franchie sans nuire a la security. En 
particulier, une longueur d' engagement de 64 bits 
seulement permet a I'imposteur de (au minimum) doubler 
la probability de r^ussite de son imposture, et merae, 

15 dans certains cas, de rendre cette probabilite §gale a 
1. 

L' invention permet de franchir la limite de 
128 bits pour les engagements (jusqu'^ environ 70 
bits), sans pour autant diminuer le niveau de s6curit6. 

20 D'apres ce qui a ete expose plus haut, ceci est 
impossible si le reste du protocole est inchange : il y 
a done necessairement une contrepartie . L'interet de 
1' invention est que cette contrepartie est mineure : il 
suffit d'augmenter legerement le nombre u de questions 

25 possibles, ce qui, en pratique, se traduit par une 
augmentation de trois ou guatre bits de la longueur de 
e. 

Esqsose de 1 'invention 

30 L' invention consiste done a diminuer de 

facon importante la longueur des engagements (d' environ 
60 bits) et augmenter legerement la longueur des 
questions (de 3 ou 4 bits), le protocole modifii 
suivant 1' invention ayant exactement le meme niveau de 

35 security que le protocole non modifie. 
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L' invention s' applique egalement aux 
schemas d'authentification de messages et 
eventuelleitient de signatures num^riques de messages, 
sous certaines conditions explicit^es par la suite. 

5 

De facon precise, 1 ' invention a pour objet 
un precede d'authentification a nombre reduit de bits 
transmis, entre una premiere entite dite a authentifier 
et une seconde entite dite authentif iante, ce proc6d6 
10 comprenant les operations suivantes : 

a) l'entit6 a authentifier choisit au hasard un 
nombre entier r, calcule un nombre appele 
engagement x ou c fonction du nombre entier r et 
envoie cet engagement x ou c a 1' entite 

15 authentif iante, cet engagement comprenant un 

certain nombre de bits, 

b) 1' entity authentif iante regoit 1' engagement x ou 
c, choisit au hasard un nombre e dans un certain 
intervalle, ce nombre etant appele "616ment" et 

20 ayant un certain nombre de bits et envoie cet 

§lement e a 1' entite a authentifier, 

c) 1' entite a authentifier regoit 1' element e, 
effectue un calcul utilisant cet element e et 
envoie le resultat y a 1' entite authentif iante, 

25 d) 1' entite authentif iante regoit le resultat y, 
effectue un calcul utilisant le resultat y et 
v^rifie que le resultat de ce calcul est 
identique a 1' engagement regu x ou c auquel cas 
la premiere entite est authentifiee ; 
30 un niveau de security egal a 1 - pouvant etre 
dfefini pour cette authentif ication, a supposer que 
1' engagement x ou c possede un certain nombre minimm N 
de bits et 1' element e un certain nombre k de bits, 
ce procede etant caracterise par le fait que : 
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le norabre de bits de 1 ' engagement x ou c est pris 
tres inferieur a N ; 

le nombre de bits de 1' element e est pris un peu 
superieur a k ; 
5 le niveau de securite restant alors le m§me. 

Expose detaill4 de modes de realisation 

La definition precedents de 1' invention 
s' applique notarament a trois protocoles connus, qui 
10 vent maintenant §tre d^crits & titre d'exemples non 
limitatifs, h savoir, respectivement, le protocole de 
SCHNORR, celui de GUILLOU-QUISQUATER et celui de FIAT- 
SHAMIR. 

15 1) Pi«5T0C0LE DE SCHNORR 

Le protocole d' identification de CP. 
SCHNORR (3) est base sur la difficulte de calculer des 
logarithmes discrets. Les parametres universels (c'est- 
a-dire ceux partag6s par tous les utilisateurs) sont : 

20 - un grand nombre premier p, 

- un nombre premier q tel que q soit un nombre 

premier divisant p-1 ou soit egal § p-lr 

- un entier a (la "base") tel que a<3=l(mod p) , 

- un petit entier k. 

25 

Les longueurs recommandees pour n et <? sont 
respectivement (au moins) de 512 bits et 140 bits ; k 
determine le nombre u de questions possibles par la 
relation u=2^. Une valeur typique de k est 40 (ou 72 
30 pour le schema de signature correspondant) . 

La cl6 secrete d'un utilisateur est un 
entier s pris dans I'intervalle {l...g}. Sa cle 
publique est v=a~'S{mod p) . Le protocole est le 
suivant : 
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a) L'entite a authentifier choisit au hasard un 
entier r dans I'intervalle {l...q}, calcule 

x=a-^(niod p) et envois x au verificateur . 

b) L'entite authentif iante choisit au hasard un 
5 element e dans I'intervalle {0...2^-l} et envoie 

e k l'entite a authentifier. 

c) L'entite a authentifier calcule y=r+se (mod q) et 
envoie y a l'entite authenti f iante . 

d) L'entite authentif iante controle que 
10 x=ayve(mod p) . 

On remarque qu'un imposteur (qui ignore s) 
peut facilement tromper une entitfe authentif iante avec 
une probabilite egale a 2~^, en choisissant un entier 

15 y, un element e et en calculant x comme a I'etape d) . 
Comme on peut prouver que, si le probleme du logarithme 
discret est difficile, il ne peut substantiellement 
ameliorer cette probabilite, le niveau de securite est 
done egal a 1-2-^. 

20 Afin de diminuer le noinbre de bits 

transmis, I'auteur du protocole a suggere d'envoyer a 
I'etape a) 1 ' engagement c=h{x) ou h est une fonction 
pseudo-al§atoire . L' equation de verification de I'etape 
d) devient alors : 

25 c=h (oy^e (mod p) ) . 

Afin de conserver un niveau de s6curit6 
egal k l-2~^, il est necessaire, toutes choses egales 
par ailleurs, que la longueur de c soit au moins de 128 
bits. 

30 Dans le protocole modifie selon 

1' invention, la longueur de 1' engagement de c est 
reduite par exemple a 70 bits et cette reduction est 
compensee par une augmentation de la longueur de e de 
trois bits seulement. Une autre possibilite est de 

35 choisir 69 bits pour c et quatre bits d' augmentation 
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pour e. II peut alors etre demontr§ que le niveau de 
securite du protocole ainsi modifie reste egal a 1-2"-'^. 
On a ainsi reduit le nombre total de bits transmis de 
55 bits. Si I'on prend ^=40, alors ce nombre total est 
5 egal a : 70+ ( 40+3) +160=273 au lieu de 128+40+160=328 
avec des engagements de 128 bits, soit un . gain 
d' environ 18%. 

L' invention est particulierement bien 
adaptee a ce protocole, en ce sens qu'elle n'entralne 

10 aucun changement des parametres universels principaux, 
a savoir p, q, a, ni meme des parametres individuels 
(cles secrete et publique de 1 'utilisateur) . De plus, 
elle est particulierement utile dans un mode 
d' utilisation particulier de ce protocole, qui consiste 

15 i stocker par avance les engagements. Ce mode 
d'utilisation est utilise lorsque le dispositif de 
security de I'entite a authentifier ne dispose pas des 
ressources lui permettant d'effectuer des operations 
modulo un nombre de 512 bits (premier cas), ou bien les 

20 effectue en un temps trop eleve pour que 1 ' etape a) 
puisse §tre executee au moment m&me de 
1 ' authentif ication (deuxieme cas). 

Dans le premier cas, les engagements sent 
calculus par une autorite de confiance puis stockes 

25 dans la carte : le dispositif ne peut alors etre 
authentifie qu'un nombre limite de fois, egal au nombre 
d' engagements stockes. Cependant, lorsque ce nombre est 
atteint, il peut, par une procedure de rechargement 
d' engagements (eventuellement a distance), etre d 

30 nouveau capable d'effectuer des authentif ications . Dans 
le deuxieme cas, les engagements sont calcules par le 
dispositif de I'entite a authentifier prealablement a 
1' authentif ication. Dans les deux cas, afin de ne pas 
avoir a stocker les nombres aleatoires r 

35 correspondants, ces nombres sont avantageusement 
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produits par un generateur pseudo-aleatoire contenu 
dans le dispositif de securite de I'entite a 
authentif ier . 

A titre d'exemple, si le dispositif de 
5 securite de I'entite a authentif ier est une carte k 
microprocesseur standard, alors I'etape a) ne peut etre 
realises en un temps satisfaisant par la carte et meme, 
dans certains cas, ne peut etre realisee du tout. II 
est alors necessaire de recourir au mode d'utilisation 

10 evoque ci-dessus, et il est tres avantageux d'utiliser 
1' invention, qui ne requiert que le stockage de 70 bits 
pour une authentif ication. Si I'on peut disposer de 
IKoctet de memoire reprogrammable a cette fin, alors la 
carte pourra effectuer 117 authentif ications, apres 

15 quoi il faudra recharger de nouvelles valeurs 
d' engagements. 

Cette variants est encore plus intiressante 
dans le cas du protocols d§crit dans la demands de 
brsvst frang:ais n''94 01271 du 4 f^vrier 1994 intitul^e 

20 "Procede de signature numerique et d' authentif ication 
de messsages utilisant un logarithms discret", car, 
dans ce protocols, I'stape c) ne contient pas 
d' operation modulo, ce qui fait que cs type d' operation 
n'a pas besoin d'etre rsalisee dans la carte a 

25 microprocssssur. 

2) PROTOCOLE GUILLOU-QUISQUATER 

Le protocols d' identification de GUILLOU et 
QUISQUATER (4) est base sur la difficulte de factoriser 
30 des grands entiers. Dans la version dite "bas6e sur 
I'identite" de cs protocols, uns autorit6 ds confiancs 
est utilises pour calculsr Iss cl§s secretes dss 
utilisateurs . Les paramitrss univsrssls sont : 
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- un grand entier non premier n (dont les facteurs 
premiers sont connus uniquement de I'autorit^ de 
confiance) , 

- un entier premier u de nombre de bits k. 

La taille recommandee pour n est au minimimi 
de 512 bits. Une valeur typique de k est 40 bits (ou 72 
pour le schema de signature correspondant) . 

La cl6 publique de I'entite k authentifier 
est sont "identity" (c' est-a-dire une chaine binaire I 
contenant des informations a son propos et/ou k propos 
de son dispositif de securite) . Sa cle secrete est la 
valeur s telle que s"J=l (mod n) . 

Le protocole de base est le suivant : 

a) L' entity a authentifier choisit au hasard un 
entier r dans I'intervalle {0..n}, calcule 
x=r"(mod n) et envoie x a I'entite 
authent i f i ante , 

b) I'entite authentif iante choisit au hasard un 
element e dans I'intervalle {0, u-1} et envoie e 
a I'entite a authentifier, 

c) I'entite a authentifier calcule y=rs® (mod n) et 
envoie y k l'entit§ authentif iante, 

d) l'entit§ authentif iante contrSle que : 

x=y"ie (mod n) . 

On remarque qu'un imposteur (qui ignore s) 
peut facilement tromper une entite authentif iante avec 
une probabilite egale a 1/u, en choisissant un entier 
y, un element e et en calculant x comme dans I'etape d. 
Comme on peut prouver que, si le probleme de la 
factorisation est difficile, il ne peut 
substantiellement ameliorer cette probabilite, le 
niveau de securite est done egal a l-(l/u), qui est de 
I'ordre de l-2~^. 
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Afin de diminuer le nombre de bits 
transmis, on peut envoyer a I'etape a) 1 ' engagement 
c=h{x) ou h est une fonction pseudo-aleatoire . 
L' Equation de verification de I'etape d) devient 
5 alors : 

c=h (y"ie (mod n) . 
Afin de conserver un niveau de securite du 
protocole de base egal a 1-2"^, il est necessaire, 
toutes choses egales par ailleurs, que la longueur de c 
10 soit au moins de 128 bits. 

Dans le protocole modifie selon 
1' invention, la longueur de c est reduite par exemple a 
70 bits et cette reduction est compensee par une 
augmentation de la longueur de e de trois bits 
15 seulement, ce qui implique une augmentation d'autant de 
la longueur de u. Une autre possibility est de choisir 
69 bits pour c et quatre bits d' augmentation pour e. II 
peut alors etre d6montre que le niveau de securite du 
protocole de base ainsi modifie reste egal a l-2~^. On 
20 a ainsi r§duit le nombre total de bits transmis de 55 
bits. Si I'on prend k=40, alors ce nombre total est 
egal a 70+ (40+3) +512=625 au lieu de 128+40+512=680 avec 
des engagements de 128 bits, soit un gain d' environ 8%. 

Les variantes decrites dans le cas du 
25 protocole de SCHNORR sont encore applicables ici, mais 
sont moins interessantes en ce sens que I'etape c) 
consiste en une operation modulaire importante qui, 
contrairement a celle de I'etape a), ne peut §tre 
effectuee a I'avance. 

30 

3") PROTOCOLE FIAT-SHAMIR 

Le protocole d' identification de FIAT et 
SHAMIR (1) est base sur la difficulte de factoriser des 
grands entiers. Dans la version dite "basee sur 
35 I'identite" de ce protocole, une autorite de confiance 
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est utilisee pour calculer les cles secretes des 
utilisateurs. Les parametres universels sont : 

- un grand entier non premier n (dont les facteurs 
premiers sont connus uniquement de I'autorite de 

conf iance) , 

- deux petits entiers k et t, 

- une fonction pseudo-aleatoire f. 

La taille reconraiand6e pour n est au minimum 
de 512 bits. Les valeurs de et t sont etroitement 
relives au niveau de securite du protocole (comme il 
sera decrit plus loin) ; le nombre u de questions 
possibles et le parametre k sont relies par la relation 
u=2^. Des valeurs typiques de k et t sont 8 et 5 (ou 9 
et 8 pour le schema de signature correspondant) . 

La cle publique de I'entite a authentifier 
est son "identite" (c ' est-^-dire une chalne binaire I 
contenant des informations a son propos et/ou a propos 
de son dispositif de security) . Sa cle secrete est 
constituee de k valeurs sj calculees comme suit : soit 
Vj=f{Ij) pour k petites valeurs de j telles que Vj est 
un carre dans 1' ensemble des entiers modulo n (pour la 
commodite de la description, on supposera que j=l..k). 
Alors sj2vj=l(mod n) pour toute valeur de j. 

Le protocole de base est le suivant : 

a) I'entite a authentifier choisit au hasard un 
entier r dans I'intervalle {0..n}, calcule 
x=r2 (mod n) et envoie x a I'entite 
authentif iante, 

b) I'entite authentif iante choisit au hasard un 
element e={ei, e2, ej^-) dans {0,1}-'^ et envoie 
e a I'entite a authentifier, 

c) 1' entity k authentifier calcule y=-rJ3 Sj (mod n) 

et envoie y a I'entite authentif iante. 
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d) 1' entity authentif iante calcule tous les Vj et 
controle que : x=y2J^ i^j (mod n) . 

On remarque qu'un imposteur (qui ignore s) 
peut facilement tromper une entite authentif iante avec 

5 une probability 6gale a 2~^, en choisissant un entier 
y, un 616ment e et en calculant x comme dans I'^tape 
d) . Comme on peut prouver que, si le probleme de la 
factorisation est difficile, il ne peut 
substantiellement ameliorer cette probabilite, il 

10 suffit de repeter t fois le protocole de base pour 
obtenir un niveau de securite egal a 1- {1/u) ^=l-2~^^. 

Afin de diminuer le nombre de bits 
transmis, les auteurs du protocole ont sugg§re 
d'envoyer a I'etape a) 1' engagement : c=h{x) ou h est 

15 une fonction pseudo-aliatoire . L' Equation de 
verification de I'^tape d) devient alors : 

63=1 

Afin de conserver un niveau de securite 
du protocole de base egal a l-2~^, il est n^cessaire, 
20 toutes choses egales par ailleurs, que la longueur de c 
soit au moins de 128 bits. 

Dans le protocole modifie selon 
1' invention, la longueur de c est r^duite par exemple a 

25 70 bits et cette reduction est compensee par une 
augmentation de la longueur de e de trois bits 
seulement. Une autre possibilite est de choisir 69 bits 
pour c et quatre bits d' augmentation pour e. II peut 
alors etre d§montre que le niveau de securite du 

30 protocole de base ainsi modifi§ reste egal a l-2~^. On 
a ainsi r6duit le nombre total de bits transmis de 55 
bits. Si I'on prend k=Q et t=5, alors ce nombre total 
est egal § : 70+ (8+3) +512=593 au lieu de 128+8+512=648 
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avec des engagements de 128 bits, soit un gain 
d' environ 8,5%. 

Cependant, un inconvenient de 1' invention 
appliquee a ce protocole d' identification est qu'elle 

5 implique un plus grand nombre de secrets, puisque la 
longueur de e est precis^ment egale a ce nombre, a 
savoir k. De plus, le nombre de multiplications 
supplementaires a effectuer par chacune des entit6s 
augmente proportionnellement de fagon importante, et ce 

10 d'autant plus que k est choisi petit. Ainsi, 
1' invention comporte-t-elle dans ce cas des avantages 
et des inconvenients . 

L' invention qui vient d'etre decrite porte 

15 sur une authentif ication d'entite. Mais 1' invention, 
s' applique & d'autres sch§mas comme 1' authentif ication 
de messages et la signature niimerique de messages. 

Dans les schemas d' authentif ication de 
messages et de signature numerique de messages, 

20 I'entite a authentif ier, en plus de prouver son 
identite, attache cette identite a un message donne. 
Cela se passe de maniere interactive dans les schemas 
d' authentif ication de message et de maniere non 
interactive dans les schemas de signature de message. 

25 L' invention est susceptible de s'appliquer surtout aux 
schemas d' authentif ication de messages derives de 
protocoles d' identification a connaissance nulla (en 
particulier les trois protocoles precites) . 

Le fait que 1 ' invention s' applique ou non a 

30 ces schemas depend de la facon exacte dont ils sont 
d6riv§s du protocole d' identification initial. La fagon 
classique consiste i. faire figurer le message M dans 
les param^tres y de la fonction pseudo-al6atoire h, ce 
qui donne : 

35 c=h{x,M) au lieu de c=ij(x). 
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Dans les schemas d' authentif ication de 
messages, le reste du protocole ne diff^re pas, a 
1' adaptation evidente pres de 1' operation d) de 
verification. Dans les schemas de signature, pour 
lesquels I'entite signataire n'intervient pas dans les 
etapes a) et b) , on choisit e=c, ce qui, a priori, 
enldve de I'interet a 1' invent ion. Pour les deux types 
de schemas, il y a de tcute facon la crainte que, si c 
est inferieur k 128 bits, alors I'entite a authentif ier 
ne soit capable, pour un nombre x issu du protocole, de 
trouver deux messages distincts M et M' aboutissant a 
la meme valeur de c. 

Si I'on se trouve dans un environnement ou 
I'on n'a pas cette crainte (soit que la mise en oeuvre 
du protocole dans le dispositif de securite rende cette 
attaque impossible, soit que I'on considere que les 
entites k authentifier sont dignes de confiance soit 
encore qu'une telle attaque serait sans interet pour 
eux) , alors I'invention s'appligue. 

De fagon generale, 1 ' application de 
I'invention a d'autres schemas que des protocoles 
d' identification est possible, mais depend des 
specifications exactes de ces schemas ainsi que de leur 
realisation pratique. 

A titre d'exemple, le schema 

d' authentif ication de message derive du protocole de 
SCHNORR est le suivant : 

a) I'entite a authentifier choisit au hasard un 
entier r dans {l..g}, calcule x=a-^ (mod p) , puis 
c=h{x,M) et envoie c a I'entite authentif iante, 

b) I'entite authentif iante choisit au hasard un 
element e dans {0.. 2-^-1} et I'envoie a I'entite a 
authentifier, 

c) I'entite a authentifier calcule y=r+se {mod q) et 
envoie y a I'entite authentif iante. 



2752122 



16 

d) I'entite authentif iante controle que : 
c=h {aYv^ {mod p) ,M) . 

Dans un environnement ou ce schema peut 
5 etre modifie selon 1' invention, alors le gain est 
exactement le meme que pour le protocole 
d' identification modifie. 
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REVENDICATIONS 

1. Procede d'authentification a nombre 
reduit de bits transmis, entre une premiere entite dite 
a authentifier et une seconde entite dite 
authentif iante, ce procede comprenant les operations 
suivantes : 

a) 1' entite a authentifier choisit au hasard un 
(des) parametre (s) r, calcule un (des) nombre (s) 
appel6{s) engagement { s ) c fonctlon(s) du (des) 
parametre (s) r et envoie cet (ces) engagement (s) 
c k 1' entite authentif iante, cet (ces) 
engagement ( s ) comprenant un certain nombre de 
bits, 

b) 1' entity authentif iante regoit le (ou les) 
engagement (s) c, choisit au hasard un nombre e 
dans un certain ensemble, ce nombre etant appele 
"element" et ayant un certain nombre de bits et 
envoie cet element e k 1' entite a authentifier, 

c) 1' entite a authentifier regoit 1' element e, 
effectue un (des) calcul(s) utilisant cet 616ment 
e et envoie le (les) resultat(s) y k 1 'entity 
authentif iante, 

d) 1' entite authentif iante regoit le rfesultat y, 

effectue un calcul utilisant le (les) r6sultat(s) 

y et verifie que ce calcul redonne le (les) 

engagement ( s ) regu{s) c auquel cas la premiere 

entite est authentifiee ; 

un niveau de s6curite egal 1 - — pouvant §tre 

u 

defini pour cette authentif ication, a supposer que le 
(les) engagement ( s ) c possede(nt) un certain nombre 
minimum N de bits et que 1' element e fait partie d'un 
certain ensemble a u elements et possede un certain 
nombre k de bits. 
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ce procede etant caracterise par le fait que : 

le nombre de bits de (des) engagement (s) c est 
pris tr^s infirieur ^ N ; 

1 ' ensemble dans lequel est choisi 1 ' element e est 
pris un peu plus grand, ce qui se traduit par un 
nombre de bits de 1' element e un peu superieur a 
k ; 

le niveau de securite restant alors le m§me. 

2. Procede d' authentification selon la 
revendication 1, comprenant les operations suivantes : 

a) . l'entit§ a authentifier choisit au hasard un 

entier r compris entre 1 et un nombre q et cal- 
cule un nombre x egal a (modulo p) oil a est* un 
entier appele base tel que a<? = 1 (modulo p) , et 
ou g est soit un nombre premier divisant p-1 soit 
6gal k p-1 oCi p est un grand nombre premier ; 
1' entity a authentifier envoie une fonction 
c=h(x) du nombre x ou ii est une fonction 
pseudo-aleatoire) , le nombre envoys c constituant 
1 ' engagement, 

b) . I'entite authentif iante B choisit au hasard un 

element e ayant un certain nombre de bits et 
envoie cet element a I'entite a authentifier, 

c) . I'entite a authentifier calcule un nombre y egal 

a r + s.e (modulo q) , ou s est la cle secrete de 
I'entite a authentifier, s etant un entier 
compris entre 1 et q, et envoie le nombre y a 
I'entite authentif iante, 

d) . I'entite authentif iante revolt le nombre y, 

calcule oY (modulo p) ou v est la cl6 publique 
de I'entite a authentifier, soit v=a~^ (modulo p) 
et verifie c=h{ayv^ modulo p) ) ; 
un niveau de securite §gal a 1 - pouvant etre defini 

en supposant pour 1' engagement c un nombre minimum de 
bits §gal k 128 et pour 1' element e un nombre de bits 
egal a k, 
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le precede etant caracterise par le fait que le nombre 
de bits de 1 ' engagement c est infSrieur a 128 de 
plusieurs dizaines d' unites et le nombre de bits de 
1' element e est superieur de quelques unites au nombre 
k, le niveau de securite restant le raeme. 

3. Procide d' authentification selon la 
revendication 2, caracterise par le fait que le nombre 
de bits de 1' engagement c est voisin de 70 et le nombre 
de bits de 1' element e est voisin de 43, le niveau de 
securite obtenu etant le meme qu'avec un engagement c 
de 128 bits et un element e de 40 bits. 

4. Proc§d§ d' authentification selon la 
revendication 2, caracterise par le fait que, dans 
1' operation c) I'entite a authentifier calcule un 
nombre y egal k r + se. 

5. Precede d' authentification selon la 
revendication 1 dans lequel : 

a) . I'entite h authentifier choisit au hasard un 

entier r compris entre 0 et n, ou n est un grand 
entier non premier et calcule x = (modulo n) 

oil u est un entier ayant une certaine longueur et 
envoie k I'entite authentif iante le nombre c=h{x) 
ou h est une fonction pseudo-aleatoire, le nombre 
envoye c constituant 1 ' engagement . 

b) . I'entite authentif iante choisit au hasard un 

element e compris entre 0 et u-J et envoie e a 
I'entite a authentifier, 

c) . I'entite k authentifier calcule y=rs^ (modulo n) 

oCi s est la cle secrete de I'entite a 
authentifier telle que s"J=l (modulo n) , ot I est 
la cle publique de I'entite a authentifier, et 
I'entite a authentifier envoie le nombre y a 
I'entite authentif iante. 



2752122 



21 



d) . I'entite authentif iante regoit le noitibre y, 
calcule h (y"!^ modulo n) ) et verifie que I'on 
retrouve 1 ' engagement, 

un niveau de s§curite egal a 1 - pouvant etre defini 

5 en supposant pour 1' engagement c un nombre minimum de 
bits (N) ^gal i 128 et en supposant pour 1' element e un 

nombre de bits egal a k, 

ce precede etant caracterise par le fait que le nombre 
de bits de 1' engagement c est inferieur a 12 8 de 
10 plusieurs dizaines d'unites, et le nombre de bits de 
1' element e est superieur de quelques unites au nombre 
k, le niveau de security restant le m§me. 

6. Proc§d6 d' authentif ication selon la 
revendication 5, caracterise par le fait que le nombre 

15 de bits de 1' engagement c est voisin de 70 et le nombre 
de bits de 1' Element e voisin de 43, le niveau de 
securite obtenu etant le meme qu'avec un engagement de 
12 8 bits et un Element e de 40 bits. 

7. Precede d' authentif ication selon la 
20 revendication 1, comprenant les operations suivantes : 

a) . 1' entity k authentif ier choisit au has'ard un 

entier r compris entre 0 et n ou u est un grand 
entier non premier, calcule x=r^ (modulo n) et 
envoie a I'entite authentif iante le nombre c=h{x) 
25 ou h est une fonction pseudo-al6atoire, le nombre 

envoy§ c constituant 1 ' engagement, 

b) . I'entite authentif iante choisit au hasard un 

el&aent e comprenant un certain nombre de bits et 
envoie e a I'entite a authentif ier, 

30 c) . I'entite a authentif ier calcule le produit par r 
d'un produit de valeurs Sj ou 1' ensemble des Sj 
pour toute valeur de j constitue la cle secrete 
de I'entite a authentif ier, et I'entite a 
authentifier envoie le resultat y de ce calcul a 

35 I'ciiitite authentif iante. 
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d) . I'entite authentif iante calcule la valeur du 
produit par du produit des vj (modulo n) , 

applique au resultat ainsi trouve la fonction h 
et verifie que le r§sultat trouve s'identifie ci 
1 ' engagement c, 

un niveau de s6curite egal a 1-^ pouvant etre defini a 

supposer, pour 1 ' engagement c, un nombre minimum de 
bits egal a 128 et pour 1' element e un nombre de bits 
egal a k, en repetant t fois les operations a) ad), 
ce precede etant caracterise par le fait que le nombre 
de bits de 1' engagement c est inf^rieur k 128 de 
plusieurs dizaines de bits et le nombre de bits de 
1' element e est superieur de quelques unites au nombre 
k, le niveau de securite restant le meme. 

8. Procede d' authentif ication selon la 
revendication 7, caracterise par le fait que le nombre 
de bits de 1' engagement c est voisin de 70, le nombre k 
de bits de 1' element e voisin de 11 et le nombre t 
voisin de 5. 

9. Proc6d6 d' authentif ication selon I'une 
quelconque des revendications 1 a 7, caracterise par le 
fait que I'entite authentif iante effectue en outre une 
authentif ication d'un message M 6mis par l'entit§ 
authentif ier, I'entite k authentif ier calculant dans 
1' operation a un engagement c 6gal a h(x,M) oil M est le 
message a authentif ier, et I'entite authentif iante 
verifiant, dans 1 'operation d) que la fonction h du 
calcul qu'elle effectue et du message M qu'elle a regu 
est identique a 1' engagement c. 

10. Procede selon la revendication 1, 
caracterise par le fait qu'il comprend des echanges 
supplementaires entre la premiere et la seconde entites 
consistent chacun en I'echange d'un element e 
supplementaire et d'un resultat y supplementaire. 



